企业网络服务搭建（一）OpenWRT uhttpd ddns firewall wireguard

简介：

最近要给媳妇的企业重新搞一搞信息化，这个也写个系列文章吧。

为什么要写openwrt呢？小公司，搞不起托管、搞不起上云。也不算搞不起，主要是自己手边各种垃圾材料多啊。自己家，公司，父母家，3处家用宽带。

本着垃圾佬的心态，能省则省。其实更多的是模拟大型异地办公需求的一种探索。

OpenWR:

开源免费的一个路由系统，玩的比较多，功能比较多，能刷openwrt的路由器也挺多。价格还实惠。它将是各个节点的接入系统，虽然还有一些更高级的pfSense OPNsense，在初级阶段，我还是会考虑openwrt的。

本例使用设备如下

家里：

型号 Xiaomi Redmi Router AC2100
架构 MediaTek MT7621 ver:1 eco:3
目标平台 ramips/mt7621
固件版本 OpenWrt 23.05.5 r24106-10cc5fcd00

办公室：

型号 Phicomm K2P
架构 MediaTek MT7621 ver:1 eco:3
目标平台 ramips/mt7621
固件版本 OpenWrt 23.05.2 r23630-842932a63d

uHTTPd：

干嘛搞这个呢？openwrt是有web管理的，不用苦哈哈的在命令行窗口干。为了通过internet远程管理检查路由，我们受运营商的限制，80、443是无法访问的。所以需要修改openwrt默认的web服务器uhttpd的端口。用来实现远程互联网管理。

而且我3条宽带，最后申请的这条是怎么投诉都不开IPV4公网地址了。还要为未来考虑，直接ipv6组网了。

安装：

虽然openwrt默认已安装uhttpd，但是它没安装luci-app-uhttpd，也就是没有web控制界面，所以需要安装一下，可以web更新列表，搜索uhttpd，找到luci-app-uhttpd安装，也可以ssh上去  opkg update  && opkg install luci-app-uhttpd。

 

安装完毕以后，可能需要退出登陆，重新登陆才能出现菜单。

 添加监听端口

 我添加了18080、18443两个ipv6的监听端口。ipv4的前面是0.0.0.0:，ipv6的前面是[::]:

重新启动uhtpd

 测试：

找到路由获取的ipv6地址，带上端口号测试一下是否可以访问。

设备--接口，随便复制一个ipv6地址，带协议和端口访问测试。

不好复制，就点一下右上角的刷新变为暂停

 我测试的地址是

 

http://[240e:xxxx:xxxx::1]:18080
https://[240e:xxxx:xxxx::1]:18443

可以正常访问就好了。

 

DDNS

我说了，三条家用宽带，这是没有固定IP地址的，还得上ddns，你们喜欢用什么我管不了，为了我的个人习惯和需求，我写了一个cloudflare-ddns。

jackadam1981/cloudflare-ddns (github.com)

顺便将用法写在这里。

单文件，shell脚本，支持cloudflare，更灵活。

安装

仅需要一个文件raw.githubusercontent.com/jackadam1981/cloudflare-ddns/refs/heads/main/ddns.sh

我一般复制到/root/cfddns/ddns.sh

token令牌

要跟cloudflare一起用，需要有cloudflare的tokenAPI 令牌 | Cloudflare在这个页面注册一个新的令牌

 使用DNS模板

 

 编辑下令牌名称，选择所有区域，继续

 

 创建令牌

 这个令牌只显示一次，存入keepass（用了十多年的跨平台云密码管理软件）吧。

 脚本加权限

在你存ddns.sh的目录下给这个脚本增加执行权限。

chmod +x ddns.sh

初次执行脚本

直接执行当前目录的ddns.sh   

./ddns.sh

执行指定目录的ddns.sh

/root/cfddns/ddns.sh

依赖

虽说是纯shell实现，但是也依赖jq json编解码 curl 网络请求两个包。

如果系统没有这两个包，会提示你安装，并给出安装命令。

配置文件

这个就是重点讲一下的了。

很多动态域名，我并不知道它提交的IP是怎么来的，也不了解过程，这也是我写这个脚本的原因之一。

'{"settings": {"log_level": "debug,info","arIp6QueryUrl": "https://6.ipw.cn","arIp4QueryUrl": "https://4.ipw.cn","log_header_name": "DDNS"},"domains": [{"domain_name": "example1.com","zone_id": "","auth_email": "your_email@example.com","auth_key": "your_auth_key1","auth_key_valid": false,"records": [{"name": "subdomain1","type": "A","proxy": false,"local": true,"nic_name": "eth0"},{"name": "subdomain2","type": "AAAA","proxy": true,"local": false,"nic_name": "eth0"}]},{"domain_name": "example2.com","zone_id": "","auth_email": "your_email@example.com","auth_key": "your_auth_key2","auth_key_valid": false,"records": [{"name": "subdomain3","type": "A","proxy": false,"local": true,"nic_name": "eth1"}]}]
}'

log_level:可以写debug，可以写info，debug会显示更多的信息给你，info就写简单的信息给你。

arIp6QueryUrl：在线获取ipv6地址的网站

arIp4QueryUrl：在线获取ipv4地址的网站

log_header_name：日志记录头，在选择行读取日志时很有用

domains：域名相关设置，可以有多个域名，示例文件是两个域名。

domain_name:域名的名字，就是你注册的那个名字

zone_id：cloudflare对域名的识别号，不用填，会自动获取并缓存

auth_email：忘记了，应该是不用填的

auth_key：刚才申请的token，或许改成token更好，有空改脚本再说。

auth_key_valid：验证过没有，默认false，脚本自己会检测这个token是否有效可用，如果可用会自动改true

name：子域名，就是你想注册的主机名

type： A 或 AAAA IPV4 或 IPV6
proxy：白嫖的CDN加速，ddos防火墙，开不开随便你了。

local：是否使用本地网卡地址，true使用本地网卡地址，需配套下面的nic_name

nic_name:如果使用本地网卡地址，多网卡时用哪个网卡？写网卡名，一般是 ip addr 显示的网卡名。

这就是我为了自己的灵活使用设计的ddns脚本。
可以在一个主机上管理多个域名，主机名，是否开彩云代理，是否用本地地址，本地用哪个网卡，随意组合。

定时运行

cron定时任务还是web写吧

系统--计划任务

 */10 * * * * /root/cfddns/ddns.sh

每10分钟运行一次。

 防火墙

以前都苦巴巴的求爷爷告奶奶，申请个公网IPV4，然后端口转发。

现在IPV6也能用了，几乎不见纯IPV4的路由器了，我们就不做端口转发了。

我们直接用防火墙通信规则，放行指定端口的流量好了。

网络--防火墙--通信规则

 我写了个Allow_local，意思是允许本机的流量

允许从wan到本设备 22  18080  18443端口流量的转发。